Я использую сеть с исторически сложившейся центральной системой межсетевого экрана, которую я хотел бы заменить. К сожалению, исторически сложившийся набор правил представляет собой НАСТОЯЩИЙ беспорядок, поэтому я хотел бы провести сетевой анализ с нуля. Поэтому я планирую запустить sflow на своих коммутаторах HP Procurve. Он уже работает с ntop, но, к сожалению, в моем случае это не лучший вариант. Я ищу сборщик потоков, который я мог бы использовать для реинжиниринга правил брандмауэра. Основная цель - получить графическое и / или табличное представление всех хостов в сети. Что мне нужно сделать, так это создать полный новый набор правил для каждого хоста в сети, при этом мое внимание будет сосредоточено на входящих соединениях с точки зрения хоста. Инструмент должен иметь различные параметры фильтрации, такие как «фильтровать по хосту», «фильтровать по сети», «фильтровать по службе» и т. Д. Конечно, я бы предпочел использовать программное обеспечение с открытым исходным кодом, но если для моей цели нет подходящего инструмента с открытым исходным кодом, я Я определенно готов заплатить за коммерческий инструмент.
Надеюсь, мое объяснение не слишком запутанно. :-)
Было бы здорово получить советы от вас, ребята. Список на sflow.org - хорошая отправная точка, но, к сожалению, у меня нет времени опробовать каждый инструмент из списка:
http://www.sflow.org/products/collectors.php
Привет,
Боб
Я использую nfdump / nfsen и Скрутинизер от Plixer с недавнего времени (в последнее время больше nfdump, чем scrutinizer). Оба являются фантастическими инструментами, но у каждого из них есть своя «ниша» пользователей.
Nfdump / nfsen - это программа с открытым исходным кодом / free-as-cerveza, но для некоторых пользователей она может показаться слишком "вызывающей". Его возможности фильтрации / запроса чрезвычайно мощны (подумайте о синтаксисе фильтрации "tcpdump", но для потоков плюс агрегация и сортировка), но, на мой взгляд, ему не хватает некоторой полировки на стороне генерации графиков / отчетов (в nfsen). Что мне нравится в nfdump, так это то, что я могу бросать несколько «быстрых и грязных» запросов в командную строку и получать нужную мне информацию в формате, готовом для загрузки некоторых моих скриптов на Python.
С другой стороны, Scrutinizer (коммерческий / not-free-as-cerverza) - фантастический «визуальный» инструмент. Отлично подходит для создания отчетов и просмотров, которыми я могу поделиться с не такими уж "вызывающими" клиентами. Его возможности запросов великолепны, но я не нашел способа извлекать из него информацию через командную строку (в основном потому, что я не исследовал, есть ли у Scrutinizer такая возможность, потому что это я могу выполнить с помощью nfdump).
Одна последняя вещь. Я не понаслышке знаю, что Scrutinizer может использовать данные sFlow. Я знаю (из того, что я прочитал, и вариантов конфигурации, которые я видел), что nfdump также может потреблять данные sFlow, но я лично никогда этого не делал. Я использовал nfdump только с данными Netflow v5 / v9. Поэтому я рекомендую, прежде чем переходить к nfdump, вы должны подтвердить эту возможность.
Поскольку вы используете переключатели HP ProCurve, я бы порекомендовал инструмент, поддерживающий sFlow MIB для конфигурации. sFlowTrend является бесплатным и имеет возможности фильтрации и отчетности, которые должны предоставить вам необходимые данные.